J'ai besoin d'obtenir un historique des processus exécutés sur ma machine Windows et de leur date d'exécution. Cependant, je ne peux utiliser aucun logiciel tiers, car je ne peux pas garantir qu'il fonctionnera toujours.
Existe-t-il un moyen d'obtenir ces informations uniquement à l'aide de la fonctionnalité intégrée de Windows?
Réponses:
Sûr. Vous pouvez utiliser la journalisation des événements intégrée de Windows (en supposant que vous n'êtes pas sur une édition bon marché qui ne l'a pas).
Dans le volet gauche, accédez à
Stratégie de l'ordinateur local \ Configuration de l'ordinateur \ Paramètres Windows \ Paramètres de sécurité \ Stratégies locales \ Stratégie d'audit
Dans le volet droit, double-cliquez sur "Audit process tracking" et cochez les deux cases
Désormais, toutes les créations et suppressions de processus (et toutes les tentatives ayant échoué) apparaîtront dans le journal de sécurité.
Pour les afficher, exécutez l'Observateur d'événements. (Appuyez sur la touche Windows et commencez à taper "Observateur d'événements".) Dans le volet gauche, développez la sous-arborescence "Journaux Windows" et cliquez sur "Sécurité". Tous les événements de sécurité seront affichés.
Dans le volet droit, vous pouvez configurer un filtre pour rechercher des ID d'événement comme 4688 ou 4689, ou tout autre critère pris en charge.
Vous pourriez envisager de ne pas activer la journalisation des échecs puisque vous recherchez "ce qui s'est exécuté et quand", et si la création d'un processus a échoué, alors rien ne s'est exécuté ... mais c'est à vous de décider.
Vous n'êtes pas non plus limité à la simple lecture du journal des événements sur votre écran. Les «tâches planifiées» de Windows peuvent être déclenchées par des entrées de journal des événements qui correspondent aux critères que vous spécifiez. Vous pouvez également lire le journal des événements avec un script PowerShell (ou, bien sûr, avec un programme ordinaire) et faire des choses en fonction de ce que vous trouvez.
NB: La réponse de David Postill donne plus de détails sur certains des codes d'événements, etc. Ne l'ignorez pas!
Par défaut, cet historique n'existe pas et il n'est enregistré nulle part.
Cependant, vous pouvez activer les événements de suivi des processus dans le journal des événements de sécurité Windows.
Cela vous donnera les informations dont vous avez besoin.
Remarques:
La solution nécessite d'apporter des modifications à la stratégie de groupe à l'aide de gpedit.
Malheureusement, l'éditeur de stratégie de groupe (gpedit) n'est pas inclus avec les éditions Starter Edition, Home et Home Premium de Windows.
Voir mes questions et réponses Windows Starter Edition, Home et Home Premium n'incluent pas gpedit, comment l'installer? pour savoir comment l'installer.
Dans Windows 2003 / XP, vous obtenez ces événements en activant simplement la stratégie d'audit de suivi des processus.
Dans Windows 7/2008 +, vous devez activer la création du processus d'audit et, éventuellement, les sous-catégories Audit Process Termination que vous trouverez sous Advanced Audit Policy Configuration dans les objets de stratégie de groupe.
Ces événements sont incroyablement précieux car ils fournissent une piste d'audit complète de chaque démarrage d'un exécutable sur le système en tant que processus. Vous pouvez même déterminer la durée d'exécution du processus en liant l'événement de création de processus à l'événement de fin de processus à l'aide de l'ID de processus trouvé dans les deux événements. Des exemples des deux événements sont présentés ci-dessous.
Source Comment utiliser les événements de suivi des processus dans le journal de sécurité Windows
Exécutez gpedit.msc
Sélectionnez "Paramètres Windows"> "Paramètres de sécurité"> "Stratégies locales"> "Stratégie d'audit"
Faites un clic droit sur "Suivi du processus d'audit" et sélectionnez "Propriétés"
Cochez "Succès" et cliquez sur "OK"
Ce paramètre de sécurité détermine si le système d'exploitation audite les événements liés au processus tels que la création de processus, la fin du processus, la duplication de gestion et l'accès indirect aux objets.
Si ce paramètre de stratégie est défini, l'administrateur peut spécifier s'il convient d'auditer uniquement les succès, uniquement les échecs, à la fois les succès et les échecs, ou de ne pas auditer ces événements du tout (c'est-à-dire ni les succès ni les échecs).
Si l'audit réussi est activé, une entrée d'audit est générée chaque fois que le système d'exploitation exécute l'une de ces activités liées au processus.
Si l'audit des échecs est activé, une entrée d'audit est générée chaque fois que le système d'exploitation ne parvient pas à effectuer l'une de ces activités.
Par défaut: aucun audit
Important: pour mieux contrôler les stratégies d'audit, utilisez les paramètres du nœud Configuration avancée de la stratégie d'audit. Pour plus d'informations sur la configuration de stratégie d'audit avancée, voir http://go.microsoft.com/fwlink/?LinkId=140969 .
